Informácie o spracúvaní osobných údajov

Prevádzkovateľom osobných údajov je spoločnosť [NÁZOV SPOLOČNOSTI], so sídlom [ADRESA], IČO: [IČO], DIČ: [DIČ] (ďalej len „Lodgivo" alebo „my").

Kontaktné údaje prevádzkovateľa:

E-mail: [KONTAKTNÝ EMAIL]

Telefón: [KONTAKTNÝ TELEFÓN]

Adresa: [ADRESA]

Prevádzkovateľ nemenoval zodpovednú osobu (DPO), pretože na základe rozsahu a povahy spracúvania táto povinnosť nevzniká. V prípade otázok týkajúcich sa ochrany osobných údajov nás kontaktujte na vyššie uvedenom e-maile.

Spracúvame nasledujúce kategórie osobných údajov:

a) Identifikačné údaje: meno, priezvisko, dátum narodenia, štátna príslušnosť, číslo dokladu totožnosti (občiansky preukaz alebo cestovný pas)

b) Kontaktné údaje: e-mailová adresa, telefónne číslo, adresa trvalého alebo prechodného bydliska

c) Platobné údaje: informácie o vykonaných platbách, číslo faktúry, výška platby (čísla platobných kariet nespracúvame - ich spracovanie zabezpečuje výhradne prevádzkovateľ platobnej brány Stripe, Inc.)

d) Prevádzkové a technické údaje: IP adresa, informácie o prehliadači a zariadení, záznamy o prístupe (logy), cookies a identifikátory sledovania

e) Údaje o využívaní služieb: história rezervácií, preferencie, hodnotenia, komunikácia s administrátorom ubytovacieho zariadenia

f) Údaje z digitálneho check-inu (Standard a Premium plán): meno, priezvisko, dátum narodenia, štátna príslušnosť, adresa, číslo dokladu totožnosti, fotografia dokladu (voliteľné, len ak to ubytovacie zariadenie vyžaduje), plánovaný čas príchodu, špeciálne požiadavky

g) Fakturačné a obchodné údaje registrovaných klientov (prevádzkovateľov ubytovacích zariadení): obchodné meno, adresa, IČO, DIČ/IČ DPH, kontaktné údaje, história platieb a predplatného

Vaše osobné údaje spracúvame na nasledujúce účely:

3.1 Plnenie zmluvy (čl. 6 ods. 1 písm. b) GDPR)

• Spracovanie a správa rezervácií ubytovacích zariadení
• Komunikácia s hosťom v súvislosti s rezerváciou (potvrdenia, pripomienky, zmeny, zrušenia)
• Poskytovanie, správa a fakturácia predplatných služieb Lodgivo registrovaným klientom
• Onboarding klientov a nastavenie ich účtu
• Spracovanie platieb cez platobnú bránu Stripe
• Digitálny check-in a predvyplnenie údajov hosťa z predchádzajúcich rezervácií

3.2 Plnenie zákonnej povinnosti (čl. 6 ods. 1 písm. c) GDPR)

• Evidencia ubytovaných osôb podľa zákona č. 404/2011 Z.z. o pobyte cudzincov a zákona č. 253/1998 Z.z. o hlásení pobytu občanov SR (ubytovacie zariadenie ako prevádzkovateľ ubytovacích služieb má povinnosť viesť knihu ubytovaných)
• Výpočet a evidencia miestneho poplatku za ubytovanie podľa zákona č. 582/2004 Z.z. o miestnych daniach a miestnom poplatku za komunálne odpady
• Uchovávanie účtovných dokladov podľa zákona č. 431/2002 Z.z. o účtovníctve (10 rokov)
• Uchovávanie daňových dokladov podľa zákona č. 595/2003 Z.z. o dani z príjmov

3.3 Oprávnený záujem (čl. 6 ods. 1 písm. f) GDPR)

• Zabezpečenie a ochrana systémov (logy, detekcia narušení, rate limiting)
• Prevencia podvodov a zneužívania služieb
• Odosielanie e-mailov po odchode hosťa s výzvou na zanechanie hodnotenia (priama súvislosť s poskytnutou službou, krátky časový odstup)
• Narodeninová e-mailová ponuka (len ak hosť uvedie dátum narodenia a bol oboznámený s týmto účelom pri zadaní)
• Evidencia knihy ubytovaných pre potreby ubytovacej legislatívy SR

3.4 Súhlas (čl. 6 ods. 1 písm. a) GDPR)

• Zasielanie marketingových správ a newsletters (len na základe výslovného súhlasu, ktorý možno kedykoľvek odvolať)
• Zasielanie e-mailových kampaní prostredníctvom administrátora ubytovacieho zariadenia (sezónne ponuky, kampane „chýbate nám")
• Uloženie fotografie dokladu totožnosti v rámci digitálneho check-inu

Súhlas so spracúvaním osobných údajov na marketingové účely môžete kedykoľvek odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania pred jeho odvolaním.

Osobné údaje uchovávame len po dobu nevyhnutnú na dosiahnutie príslušného účelu:

• Rezervačné údaje hosťa (bez dokladov): 3 roky od ukončenia pobytu
• Fotografie dokladov totožnosti (digitálny check-in): 90 dní od check-inu, potom automaticky vymazané
• Čísla dokladov totožnosti (bez fotografie): po dobu prevádzky záznamu v knihe ubytovaných, spravidla 5 rokov podľa legislatívy
• Účtovné doklady a faktúry: 10 rokov od vystavenia (zákon o účtovníctve)
• Daňové záznamy: 10 rokov od vzniku daňovej povinnosti
• Záznamy o prístupe (logy): 90 dní
• Cookies analytické a marketingové: podľa nastavenia súhlasu, max. 13 mesiacov
• Údaje registrovaných klientov Lodgivo: po dobu trvania predplatného + 30 dní aktívna lehota na export + 60 dní pred definitívnym vymazaním
• Marketingový súhlas: do odvolania, max. 3 roky od udelenia ak nedôjde k obnoveniu

Po uplynutí doby uchovávania sú osobné údaje bezpečne vymazané alebo anonymizované.

Vaše osobné údaje môžu byť poskytnuté nasledujúcim kategóriám príjemcov:

a) Sprostredkovatelia spracúvania (spracúvajú údaje v mene Lodgivo):

• Hetzner Online GmbH (serverová infraštruktúra, Nemecko, EÚ) - hosting a úložisko
• Amazon Web Services EMEA SARL (e-mailové notifikácie cez Amazon SES, Luxemburg, EÚ)
• Sentry (monitorovanie chýb, USA - prenos zabezpečený štandardnými zmluvnými doložkami)
• Cloudflare, Inc. (CDN, ochrana pred DDoS, USA - prenos zabezpečený štandardnými zmluvnými doložkami)
• gosms.sk (SMS notifikácie, SR)

b) Samostatní prevádzkovatelia (spracúvajú vo vlastnom mene):

• Stripe, Inc. (spracovanie platieb, USA - prenos zabezpečený štandardnými zmluvnými doložkami a certifikáciou PCI DSS)
• SuperFaktúra / iDoklad (fakturácia, SR/ČR - len ak klient Lodgivo využíva integráciu)
• Google LLC (Google Analytics, Google Maps - len ak klient Lodgivo aktivoval tieto integrácie)
• Tawk.to Inc. (live chat - len ak klient Lodgivo aktivoval túto funkciu)

c) Prevádzkovatelia ubytovacích zariadení (klienti Lodgivo):

Hosťovské údaje (meno, kontakt, rezervácia, check-in formulár) sú sprístupnené prevádzkovateľovi konkrétneho ubytovacieho zariadenia, v ktorom hosť realizuje pobyt. Prevádzkovateľ ubytovacieho zariadenia je samostatným prevádzkovateľom vo vzťahu k evidencii ubytovaných a plneniu zákonných povinností.

d) Štátne orgány: orgány činné v trestnom konaní, daňové orgány, súdy – len v rozsahu stanovenom zákonom a na základe zákonnej žiadosti.

Osobné údaje nepredávame tretím stranám na komerčné účely.

Niektorí naši sprostredkovatelia a príjemcovia sídlia mimo Európskeho hospodárskeho priestoru (EHP), predovšetkým v USA. Tieto prenosy sú zabezpečené jedným z nasledujúcich mechanizmov:

• Štandardné zmluvné doložky (SCC) schválené Európskou komisiou (čl. 46 ods. 2 písm. c) GDPR)
• Primeraná ochrana uznaná rozhodnutím Európskej komisie (ak je k dispozícii)
• Certifikácia príjemcu podľa príslušných programov (napr. PCI DSS pre Stripe)

Na vyžiadanie Vám poskytneme bližšie informácie o konkrétnych zárukách pri prenosoch do tretích krajín.

V súvislosti so spracúvaním Vašich osobných údajov máte nasledujúce práva:

7.1 Právo na prístup (čl. 15 GDPR)

Máte právo získať potvrdenie o tom, či spracúvame Vaše osobné údaje, a ak áno, právo na prístup k týmto údajom a informáciám o spracúvaní.

7.2 Právo na opravu (čl. 16 GDPR)

Máte právo požadovať opravu nesprávnych alebo doplnenie neúplných osobných údajov.

7.3 Právo na vymazanie – „právo byť zabudnutý" (čl. 17 GDPR)

Máte právo požadovať vymazanie osobných údajov, ak nie sú ďalej potrebné, ak odvoláte súhlas, ak namietnete spracúvanie, alebo ak boli spracúvané nezákonne. Toto právo sa nevzťahuje na údaje, ktoré musíme uchovávať z právnych dôvodov (napr. účtovné doklady).

7.4 Právo na obmedzenie spracúvania (čl. 18 GDPR)

Máte právo požadovať obmedzenie spracúvania Vašich údajov v prípadoch stanovených GDPR (napr. počas overovania presnosti údajov, pri uplatnení námietky).

7.5 Právo na prenosnosť údajov (čl. 20 GDPR)

Máte právo získať osobné údaje, ktoré ste nám poskytli na základe súhlasu alebo zmluvy, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte, a právo preniesť ich inému prevádzkovateľovi.

7.6 Právo namietať (čl. 21 GDPR)

Máte právo kedykoľvek namietať spracúvanie Vašich osobných údajov na základe oprávneného záujmu, vrátane profilovania. Po podaní námietky budeme pokračovať len vtedy, ak preukážeme závažné oprávnené dôvody, ktoré prevažujú nad Vašimi záujmami, právami a slobodami.

7.7 Právo odvolať súhlas

Ak je spracúvanie založené na súhlase, máte právo ho kedykoľvek odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania pred odvolaním.

7.8 Právo podať sťažnosť dozornému orgánu

Máte právo podať sťažnosť Úradu na ochranu osobných údajov SR:

Úrad na ochranu osobných údajov Slovenskej republiky

Hraničná 12, 820 07 Bratislava 27

Tel.: +421 2 3231 3214

E-mail: statny.dozor@pdp.gov.sk

Web: www.uoou.sk

Odporúčame Vám najskôr kontaktovať nás, aby sme mohli situáciu vyriešiť priamo.

Na uplatnenie akéhokoľvek z týchto práv nás kontaktujte e-mailom na [KONTAKTNÝ EMAIL]. Na Vašu žiadosť odpovieme do 30 dní. V odôvodnených prípadoch môže byť táto lehota predĺžená o ďalšie 2 mesiace, o čom Vás budeme informovať.

Prijali sme primerané technické a organizačné opatrenia na ochranu Vašich osobných údajov pred neoprávneným prístupom, zverejnením, zmenou alebo zničením:

• Šifrované spojenie HTTPS (TLS) pre všetku komunikáciu
• Šifrovanie citlivých údajov v databáze (fotografie dokladov)
• Prístup k údajom len pre oprávnených zamestnancov a partnerov na základe princípu minimálneho prístupu
• Pravidelné zálohovanie dát (denné zálohy na Hetzner Object Storage, retencia 30 dní)
• Rate limiting a ochrana pred automatizovanými útokmi
• Monitoring a detekcia bezpečnostných incidentov (Sentry)
• Jednorázové URL tokeny pre digitálny check-in (expirujú po odoslaní formulára)
• Fotografie dokladov automaticky vymazané po 90 dňoch

V prípade bezpečnostného incidentu, ktorý by mohol ohroziť Vaše práva a slobody, budeme postupovať v súlade s čl. 33 a 34 GDPR (notifikácia dozornému orgánu do 72 hodín, notifikácia dotknutých osôb bez zbytočného odkladu).

Nevykonávame automatizované rozhodovanie vrátane profilovania, ktoré by malo pre Vás právne účinky alebo by sa Vás podobným spôsobom závažne dotýkalo v zmysle čl. 22 GDPR.

Niektoré funkcie platformy (yield management – odporúčanie cien, segmentácia hostí pre e-mailové kampane) využívajú automatizovanú analýzu, avšak konečné rozhodnutie vždy robí prevádzkovateľ ubytovacieho zariadenia manuálne.

V bežnom prevádzkovom režime nespracúvame osobitné kategórie osobných údajov (tzv. citlivé údaje) v zmysle čl. 9 GDPR, ako sú zdravotné údaje, rasový alebo etnický pôvod, náboženské presvedčenie a podobne.

Výnimka: Hosť môže v časti „Špeciálne požiadavky" pri rezervácii alebo check-in formulári uviesť informácie, ktoré môžu nepriamo odkazovať na zdravotný stav (napr. diétne požiadavky, potreba bezbariérového prístupu). Tieto informácie spracúvame výlučne za účelom plnenia zmluvy – zabezpečenia požadovaných služieb počas pobytu – a neposkytujeme ich tretím stranám nad rámec nevyhnutného.

Tento dokument môžeme priebežne aktualizovať. V prípade podstatných zmien Vás o tom informujeme e-mailom alebo výrazným upozornením na webovej stránke najmenej 30 dní pred nadobudnutím účinnosti zmien.

Aktuálna verzia je vždy dostupná na adrese lodgivo.com/gdpr s uvedením dátumu poslednej aktualizácie.